Электронная подпись — цифровой аналог собственноручной подписи,
придающий юридическую силу подписанному электронному договору, акту,
заявлению или приказу. С её помощью компании обращаются в суды, сдают
отчётность, подают заявления и взаимодействуют с контрагентами. Поэтому
очень важно соблюдать ряд правил, которые защитят вас, ваше имущество и
репутацию от действий злоумышленников.
Что такое компрометация ключей электронной подписи
Компрометация ключей ЭП — любая ситуация, при которой закрытый ключ электронной подписи оказался или мог оказаться под контролем третьего лица.
Подписание документов необязательно — достаточно возможности доступа
третьего лица к защищённому носителю (USB-токену или смарт-карте). Чаще
всего это кража или утеря носителя, оставление вне сейфа или закрытого
ящика на рабочем столе или подключённым к компьютеру, передача носителя
коллеге или руководителю.
Владелец сертификата УКЭП обязан обеспечить конфиденциальность ключей ЭП
и не допускать их использование третьими лицами. Если появилось
подозрение, что кто-то мог подписать документы без вашего ведома,
немедленно отзовите сертификат, обратившись в удостоверяющий центр.
Закрытый ключ всегда должен храниться в секрете на защищённом
носителе, сертифицированном ФСБ России или ФСТЭК России. Закрытый ключ
отвечает за формирование подписи документов и за расшифрование данных,
зашифрованных на открытый ключ.
Открытый ключ ЭП можно свободно распространять — с его помощью
шифруют файлы с конфиденциальной информацией или проверяют
действительность подписи. Его передают контрагентам для организации
защищённой переписки по e-mail и используют на госпорталах.
Если третье лицо получит доступ к закрытому ключу ЭП, он станет вашим «цифровым двойником» и сможет:
- подписать договор на передачу активов;
- оформить кредит от вашего имени;
- подать ложную декларацию, чтобы получить налоговый вычет;
- отправить фальшивые платежные поручения.
ФНС России выдаёт сертификаты УКЭП с неэкспортируемым закрытым ключом
— такой сертификат нельзя скопировать с токена и установить на разные
рабочие места для подписания документов несколькими лицами (директором,
бухгалтером, кадровиком). Подписать отчёт или заявление можно, если
носитель подключён к рабочему компьютеру и пользователь знает PIN-код.
Если директору компании нужно, чтобы бухгалтер подписывал
бухгалтерские документы, кадровик — кадровые, а коммерческий директор —
договоры с контрагентами, то такие сотрудники получают сертификаты УКЭП в
коммерческих УЦ, а директор выдаёт машиночитаемую доверенность (МЧД)
для подписания тех или иных документов от лица организации.
В КриптоАРМ можно сформировать единый пакет подписанных
сотрудником электронных документов с приложенной МЧД. Подробнее
рассказали в статье «Как подписать документ и приложить МЧД в КриптоАРМ».
5 правил для защиты электронной подписи от компрометации
Используйте сертифицированные носители
Храните ключи электронной подписи только на защищённых носителях,
сертифицированных ФСБ России или ФСТЭК России. Такие USB-токены и
смарт-карты имеют защиту от перебора: после 3–5 неверных попыток ввода
PIN-кода они блокируются на время или полностью. Мошенник не успеет
подобрать пароль, если вы заменили его на уникальный.
Смените стандартный пароль
Замените стандартный PIN-код на случайную комбинацию символов. Не
используйте дату рождения или номера телефонов. Сделать это можно с
помощью официальных утилит от производителя.
Храните носитель в защищённом месте
Не оставляйте токен без присмотра на рабочем столе или подключённым к
компьютеру. Держите его в закрытом месте — сейфе или ящике с замком. В
случае пропажи немедленно обратитесь в УЦ для отзыва сертификата.
Защитите компьютер
Установите пароль на учётную запись, своевременно обновляйте ПО,
пользуйтесь антивирусными программами и не переходите по подозрительным
ссылкам.
Используйте МЧД
Если вы директор компании, выдайте МЧД сотрудникам для электронного
подписания документов от лица организации и ведите реестр для
своевременной выдачи новым сотрудникам или отзыва в связи с увольнением
текущих сотрудников.
Если вы сотрудник, получите МЧД для подписания документов от лица организации, используя свой сертификат УКЭП.
Заключение
Электронная подпись — безопасное и удобное средство для быстрого
взаимодействия с госорганами и контрагентами, если соблюдать несложные
правила для её защиты от мошенников:
- используйте сертифицированные защищённые носители;
- смените PIN-код на более сложный;
- храните носитель в защищённом месте;
- защитите компьютер от несанкционированного доступа;
- используйте МЧД для подписания документов от имени компании.